Dobry audyt bezpieczeństwa – czym jest?

W trakcie ostatniego webinarium, z którego nagranie dostępne jest na naszym Facebooku, omówiliśmy audyty bezpieczeństwa, ich podział z punktu widzenia celu audytu, podział obszarów audytu (w tym też audytów) na branże, nazywając je audytem branżowym. Np. audyty RODO, audyt BHP, audyt bezpieczeństwa fizycznego. W dzisiejszym artykule odpowiemy na pytanie – czym jest dobry audyt bezpieczeństwa, a właściwie w jaki sposób do niego podejść, żeby był dobry. Niezależnie, czy jest audytem bezpieczeństwa pełnym, czy audytem branżowym, ważna jest jedna zasada.

Holistyczne podejście – klucz do dobrze wykonanego audytu

Holistyczne podejście, czyli całościowe, systemowe do oceny stanu bezpieczeństwa to kompletny audyt bezpieczeństwa. Niezależnie czy bierzemy pod lupę audyt bezpieczeństwa czy branżowy np. audyt RODO to podejście, które dotyczy samego audytu niezależnie od jego obszaru. Brak synergii jednego obszaru bezpieczeństwa z pozostałymi podczas audytu może oznaczać m.in.:

  • Brak prawidłowego obsłużenia procesów przetwarzania danych osobowych (RODO) może uniemożliwić działania w obszarze ochrony fizycznej osób i mienia. Atrybuty dostępności, integralności (poprawności danych) oraz ich poufności stanowią o podstawach procesu, którym jest zarządzanie ruchem osobowym na terenie chronionego obiektu,
  • Brak właściwej analizy ryzyka, wskazania celów stosowania zabezpieczeń (zabezpieczenie techniczne zarówno w obszarze PPOŻ i ochrony fizycznej) oraz doboru urządzeń w zależności od ryzyka, może doprowadzić do niezgodności z RODO, naruszenia ochrony oraz dużych kar,
  • Błędne stanowisko specjalistów ds. RODO i nieprawidłowe rozumienie zasady minimalizacji danych może prowadzić do źle podpisanych umów powierzenia, a w konsekwencji braku przetwarzania istotnych procesowo danych osobowych wykonawców prac remontowych. Efektem może być dopuszczenie do prac pożarowo niebezpiecznych w miejscu, w którym może wystąpić atmosfera wybuchowa, osoby nieprzygotowanej do ich realizacji. Efektem może być popełnienie przestępstwa sprowadzenia zagrożenia dla wielu osób (artykuły 163 i 164 Kodeksu Karnego),
  • Brak identyfikacji przepływów danych osobowych opisanych powyżej może oznaczać brak właściwej realizacji audytu RODO, ze względu na pominięcie planowania badania w tych obszarach. Zdarza się, że audytorzy nie oceniają procesów ochrony fizycznej, ochrony PPOŻ, a w obszarze BHP skupiają się na szkoleniach i wypadkach.

Przykłady z audytów realnie przeprowadzonych.

Audyt branżowy – jaki jest jego zakres?

Istotą audytu branżowego jest ocena konkretnego obszaru bezpieczeństwa. Żaden obszar bezpieczeństwa nie funkcjonuje jednak samodzielnie:

  • Ochrona danych osobowych jest klientem wewnętrznym, ma dostarczane aktywności z obszarów bezpieczeństwa IT, fizycznego, pożarowego, czy lokalizacji (budowlane),
  • Ochrona fizyczna jest klientem wewnętrznym BHP, ochrony danych, ochrony PPOŻ, utrzymania budynku (facility management),
  • Inne obszary również są ze sobą podobnie powiązane.

Audyt branżowy obejmuje swoim zakresem działania podstawowe, poddane ocenie. Jednak, aby odpowiedzieć na pytanie, czy dany obszar dostarcza odpowiedniego, wymaganego i określonego poziomu bezpieczeństwa w organizacji konieczne jest również odpowiedzenie na pytanie:

Czy środowisko systemu bezpieczeństwa lub ochrony daje możliwość pełnego i skutecznego działania?

W tym przypadku bywa pomocna mapa powiązań między procesami i uzupełnienie zakresu audytu o pozyskanie dowodów w zakresie współpracy managera czy specjalisty branżowego z innymi działami, od których zależy jego działanie.

Dokumentowanie innych obszarów

W przypadku audytu pełnego, dokumentowanie działań odbywa się w odpowiednich rozdziałach raportu z audytu. Ważne jest jednak, aby między “branżystami” (audytorami obszarów) doszło do wymiany poglądów dotyczących konkretnych uwag, spostrzeżeń, które po przeprowadzeniu wnioskowania stają się niezgodnością lub potencjałem doskonalenia. Przykład:

Audytor obszaru PPOŻ opisuje w swoim druku niezgodności, które polegają na niedopełnieniu obowiązku zapoznawczego z Instrukcją Bezpieczeństwa Pożarowego.

Dowodem jest wykaz osób w dniu audytu w lokalizacji oraz lista osób zapoznanych.

Dzięki tym dowodom audytor obszaru ochrony danych osobowych może zidentyfikować niezgodność w swoim obszarze, poprzez zauważenie, że na liście znajdują się podpisy osób, które pracowały na obiekcie ponad 5 lat temu. Będzie to niezgodność z jedną z zasad fundamentalnych RODO z art. 5.

Jak poradzić sobie w audycie branżowym?

Przyjmijmy tę samą sytuację dla audytu branżowego, w obszarze PPOŻ. Nie jest to jego obszar audytu, wykonuje ocenę stanu ochrony przeciwpożarowej. Dzięki podstawowemu przygotowaniu audytora z innych obszarów (RODO, poziom kompetencji 1 w skali 1-3) audytor ochrony PPOŻ identyfikuje uwagę. Nie musi opisywać tego obszaru w sposób dokładny, wskazując naruszone wymaganie, kryterium i opracować rekomendacji. Niemniej powinien wskazać, że jest to obszar wymagający działania.

Podsumowanie

Podejście holistyczne, szeroka wiedza branżowa, poczucie odpowiedzialności determinują jakość audytu bezpieczeństwa. Tylko taki audyt, który wykonywany jest z holistycznym podejściem daje wartość dodaną. Dzięki niemu możliwe jest ujawnienie wąskich gardeł w organizacji bezpieczeństwa i wyjście z pozornej zgodności (quasi-compliance) do realnej zgodności, w tym w szczególności w zakresie wymagań co do poziomu bezpieczeństwa.